Av partner Simen Blaker Strand og senioradvokat Carsten L. Mowinckel, Advokatfirmaet Grette AS
Personvernforordningen (GDPR) trådte i kraft i EU 25. mai i år, og i løpet av kort tid vil den bli gjennomført også i norsk rett. Kravene i GDPR vil få betydning på de aller fleste samfunnsområder, også ved offentlige anskaffelser. Hvem har ansvaret for å oppfylle kravene på de ulike stadiene i en digitalisert anskaffelsesprosess?
Hva er KGV?
De aller fleste oppdragsgivere benytter i dag et elektronisk konkurransegjennomføringsverktøy (KGV) når de forbereder, kunngjør og gjennomfører konkurranser i henhold til regelverket om offentlige anskaffelser.
Et KGV fungerer som et kommunikasjonsgrensesnitt mellom oppdragsgiveren og leverandørene. Oppdragsgiveren laster opp konkurransedokumentene og utformer kunngjøringen (som formidles videre til Doffin), og leverandørene laster opp sine søknader om deltakelse og tilbud. Etter tilbudsfristen benytter partene verktøyet til å kommunisere, f.eks. i forbindelse med avklaringer, forhandlinger og tildeling av kontrakt.
KGVer leveres gjennomgående som en skytjeneste hvor hele systemet med alle underliggende komponenter og alle data er lagret hos systemleverandøren. Oppdragsgiveren og leverandørene benytter en portal i systemets presentasjonslag, et web-grensesnitt, til å logge seg på og utføre sine aktiviteter. Resultatet av aktivitetene, f.eks. utkast til konkurransegrunnlag eller tilbud, lagres hos systemleverandøren og er tilgjengelig for partene i henhold til definerte tilganger i systemet.
Roller og ansvarsfordeling i GDPR
Ettersom dokumentene som lastes opp i systemet, gjerne inneholder personopplysninger (f.eks. CVen til ansatte hos leverandøren), og avsenderen kan være oppdragsgiveren så vel som en leverandør, oppstår spørsmålet om hvilken rolle systemleverandørene har etter personvernlovgivningen. Er de behandlingsansvarlige eller databehandlere, og hvis de er databehandlere, hvem behandler de personopplysningene på vegne av?
I henhold til personvernforordningen (GDPR) artikkel 4 nr. 7 er en behandlingsansvarlig enhver person eller ethvert organ som “bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes“. Det er med andre ord den behandlingsansvarlige som avgjør hva personopplysningene skal brukes til, og hvordan behandlingen skal utføres. Etter GDPR art. 4 nr. 8 er en databehandler en som “behandler personopplysninger på vegne av den behandlingsansvarlige“. En databehandler har følgelig ikke et selvstendig formål med behandlingen og kan behandle personopplysninger bare etter tillatelse og nærmere instruksjoner fra den behandlingsansvarlige.
Spørsmålet er hvordan dette slår ut for systemleverandørene som opererer i grensesnittet mellom oppdragsgiveren og leverandørene. For å avgjøre dette, må man ta utgangspunkt i vilkårene i definisjonene av den behandlingsansvarlige og databehandleren.
Hvilken rolle har systemleverandørene?
KGVene skal først og fremst bidra til at oppdragsgiveren får gjennomført sine anskaffelser på en hensiktsmessig måte i tråd med kravene i anskaffelsesregelverket. I den utstrekning systemleverandøren behandler personopplysninger, f.eks. ved å lagre dem, er det for å støtte opp under dette formålet. Midlene som skal anvendes, vil normalt fremgå av den avtalen systemleverandøren har inngått med oppdragsgiveren. Det er dermed oppdragsgiveren som bestemmer formålet med behandlingen og midlene som skal anvendes.
Systemleverandøren skal på sin side bidra til å oppfylle oppdragsgiverens formål om en hensiktsmessig gjennomføring av konkurransen. I den forbindelse skal systemleverandøren behandle personopplysningene på den måten som følger av avtalen med oppdragsgiveren eller oppdragsgiveren på annen måte har instruert om. Oppdragsgiveren er dermed behandlingsansvarlig etter GDPRs system, mens systemleverandøren er databehandler.
Behandling av leverandørenes dokumenter
Ser dette annerledes ut når det gjelder dokumenter som leverandørene har lastet opp, f.eks. tilbud? Igjen er det viktig å ta utgangspunkt i de sentrale vilkårene i definisjonene og spørre om hvem som bestemmer formålet med behandlingen og midlene som skal brukes. Selv om dokumentene kommer fra andre kilder, leverandørene, er både formålet og midlene de samme. Systemleverandøren skal lagre tilbudene, med de personopplysningene de inneholder, for å bidra til en god gjennomføring av konkurransen. Dette formålet er det oppdragsgiveren som har bestemt. Videre er midlene for behandlingen fortsatt de som følger av avtalen med oppdragsgiveren. Systemleverandøren er dermed oppdragsgiverens databehandler også ved behandlingen av personopplysninger i tilbudene.
Hvilken rolle har da leverandørene? En leverandør har et helt selvstendig formål med behandlingen av personopplysningene, uavhengig av om personopplysningene ligger i konkurransegrunnlaget eller tilbudet. Formålet for en leverandør vil være å delta i (og helst vinne) konkurransen. Og midlene en leverandør bruker for å behandle personopplysningene, bestemmer han selv. En leverandør er dermed selv behandlingsansvarlig og må oppfylle alle plikter dette fører med seg etter GDPR.
På den annen side opphører leverandørens ansvar når personopplysningene er overført til oppdragsgiveren. Leverandøren har dermed ikke ansvaret for oppdragsgiverens behandling av personopplysningene i tilbudet etter at det er lastet opp i KGVet.
Databehandleravtalen
I henhold til GDPR artikkel 28 nr. 3) skal det etableres en databehandleravtale mellom den behandlingsansvarlige og databehandleren før behandlingen av personopplysninger begynner. Oppdragsgiveren må sørge for at en slik avtale kommer i stand før han tar i bruk et KGV, og avtalen må oppfylle de detaljerte innholdsmessige kravene som følger av bestemmelsen.
Hvis systemleverandøren benytter egne databehandlere, skal han inngå separate databehandleravtaler også med disse “underdatabehandlerne”. Dette vil gjelde f.eks. hvis systemleverandøren har etablert et eksternt datasenter hos en leverandør av driftstjenester og lagrer personopplysninger der.
Leverandørene skal derimot ikke inngå databehandleravtale med noen i den relasjonen vi ser på her. En leverandør er, som nevnt, selv behandlingsansvarlig, og systemleverandørene behandler personopplysninger bare på vegne av oppdragsgiveren, og ikke på vegne av leverandørene.
Bli den første til å kommentere på "GDPR og bruk av konkurransegjennomføringsverktøy"